Recientemente tuve el placer -junto con nuestro Jefe de Ventas de Blindaje, Jouni Welander- de participar en un grupo de reflexión con destacados expertos en seguridad de bancos, sistemas de pago y gobiernos de toda Europa.
¿De qué se habló?
El tema de debate fue la seguridad de las aplicaciones móviles. Para la mayoría de los bancos participantes, el móvil es ahora el principal canal de interacción con sus clientes. Esto ha convertido la seguridad de la banca móvil en un tema de gran importancia.
Fue interesante escuchar cómo ha cambiado la práctica en los últimos años, con la implicación de la ciberseguridad en el desarrollo de aplicaciones móviles "desplazándose hacia la izquierda". Esto significa, al menos para nuestros expertos, que los días de ser reactivos han pasado a la historia. Ahora participan de forma proactiva en la especificación de nuevas aplicaciones y funciones, asegurándose de que la seguridad se tiene en cuenta en una fase temprana del proceso. Esto tiene sentido, ya que están observando un aumento del fraude a través del canal móvil a medida que se amplían los conjuntos de funciones.
Nuestros expertos se autoseleccionaron como interesados en la seguridad de las aplicaciones móviles. Sería interesante saber si este enfoque proactivo es una práctica habitual. Los datos de la investigación de iSMG sugieren que esta buena práctica aún no es la norma.
La investigación de iSMG también puso de manifiesto que el 50% de los bancos subcontrata el desarrollo de sus aplicaciones móviles, mientras que otro 19% compra una solución de marca blanca. iSMG destacó que esto conduce a una pérdida de visibilidad en torno a la aplicación de controles de seguridad. En el grupo de reflexión se consideró que esto no tenía por qué ser así. Un enfoque proactivo de la seguridad, en el que los expertos en seguridad del banco participen en la especificación de los requisitos de subcontratación, da al banco flexibilidad para tomar decisiones de negocio internas frente a subcontratar sin afectar a la seguridad.
Ebook
¿Preparado para profundizar?
Obtenga gratis nuestro ebook sobre seguridad en tecnología financiera.
Dado que la mayoría de los participantes estaban muy preocupados por la seguridad de las API y por cómo la aplicación móvil puede convertirse en un vehículo hacia un ecosistema más amplio, la conversación giró en torno a la ingeniería inversa de las aplicaciones.
Los participantes y sus equipos pusieron en práctica muchas buenas prácticas de seguridad móvil: por ejemplo, las conexiones de red se bloqueaban para evitar ataques de intermediarios y las aplicaciones se sometían a pruebas estáticas y dinámicas de seguridad de aplicaciones (SAST/DAST) antes de publicarse. SAST/DAST valida el perímetro de la aplicación, comprobando que sus interfaces están definidas con sensatez para no abrir riesgos de seguridad innecesarios. Este tipo de pruebas no suele evaluar la facilidad con la que se puede penetrar en el perímetro de la aplicación ni la facilidad con la que se puede analizar su código, una forma de ataque denominada ingeniería inversa.
La ingeniería inversa puede revelar secretos sobre cómo se conecta la aplicación al resto del ecosistema. Al extraer esos secretos, un atacante obtiene los conocimientos necesarios para atacar al resto del ecosistema. Por eso, defender las aplicaciones móviles contra la ingeniería inversa es importante para la seguridad de las API.
Tras ilustrar la rapidez con que se pueden extraer secretos del código de una aplicación, la mayoría de los participantes se comprometieron a investigar más a fondo la seguridad de sus propias aplicaciones.
Si desea obtener más información sobre cómo evitar la ingeniería inversa de aplicaciones móviles, consulte las soluciones de blindaje de aplicaciones de Verimatrix.
Vea cómo podemos ayudarle a proteger su empresa:
- Aplicaciones móviles y API
- Contenidos de vídeo
- Pagos digitales
